Проблема

В Cato есть два типа квот: одна относится к событиям, другая к оповещениям. Лимит по умолчанию варьируется в зависимости от лицензии DPA, которой располагает клиент.

• Для клиента с лицензией DPA 2021 значение порога для генерации событий по умолчанию установлено в 2,5 миллиона событий в час на подтип. 
• На DPA 23 порог определяется количеством единиц данных, которые клиент приобретает в процессе обновления или подключения. В частности, 1 единица данных эквивалентна 2,5 миллионам событий в час. (агрегация всех подтипов). 

Примечание: скорость eventsFeed API Cato не ограничивается квотой событий, а следует другим ограничениям скорости API, как объяснено в статье Understanding Cato API Rate Limiting

Для оповещений стандартное ограничение на генерацию оповещений установлено в 50 оповещений в час, на подтип. 

Чтобы узнать, какая у вас лицензия DPA, перейдите в Администрирование > Лицензия

Например. DPA 2021

Например. DPA 2023

Для получения дополнительной информации обратитесь к Пороговые значения и лимиты Cato Cloud.

Настоящая статья нацелена на предоставление руководства по устранению ситуаций, когда вы получили email, уведомляющее о превышении квоты событий и/или оповещений.

Устранение неисправностей

1. Превышение квоты событий Cato
2. Превышение квоты оповещений Cato

Превышение квоты событий Cato

Когда число событий превышает максимальную квоту для аккаунта, Cato генерирует email-оповещение.

Следующий скриншот показывает образец сообщения об оповещении превышенной квоты событий для операций межсетевого экрана Интернета: 

Решение 

Cato генерирует оповещение о Превышении Квоты Событий когда число событий для определённого типа события превышает максимальные лимиты событий в час. Более подробная информация о лимитах событий доступна на странице Пороговые значения и лимиты Cato Cloud.

События WAN и Интернета

Вы можете определить правило WAN или Интернет, которое генерирует большое число событий и затем отключить опцию Отслеживание > Событие.

Чтобы идентифицировать правило межсетевого экрана и отключить опцию отслеживания событий : 

1. Откройте Приложение Управления Cato и перейдите в Домашняя > События. 
2. Разверните  Правило поле в разделе Поля. 
3. Найдите правило межсетевого экрана, которое генерирует большое количество  событий. 

Следующий скриншот показывает пример правила файервола (Разрешить все исходящие), которое сгенерировало 5,6 миллиона событий:

    4. Go to Security > WAN or Internet Firewall, locate the rule (from the previous step) and edit the Track settings.

   5. Disable the Event option for this rule.  

   6. Нажмите Применить, затем нажмите Сохранить.

События IPS

Если движок IPS блокирует ожидаемый трафик, такой как сканирование уязвимостей, и это генерирует большое количество событий, вы можете внести источник трафика в разрешенный список, как описано в Allowlisting IPS Signatures

Чтобы идентифицировать IP-адрес источника и добавить его в разрешенный список: 

1. Откройте Приложение Управления Cato и перейдите в Домашняя > События. 
2. Выберите пресет IPS
3. Разверните поле IP-адрес источника в разделе Поля и выберите IP-адрес с наибольшим количеством событий IPS.
4. Щелкните по ID подписи и настройте разрешенный список по мере необходимости. Убедитесь, что Отслеживание отключено.
5. Нажмите Применить

Превышена квота оповещений Cato

Электронная почта будет отправлена на список рассылки клиента, под Общим Уведомлением, когда количество оповещений, генерируемых в час, превышает 50 для учетной записи. Клиент получит электронное письмо с темой "Оповещения Cato Превышена квота".

Решение

1. Определите, для какой функции Cato было сгенерировано письмо о превышении квоты оповещений. Например, в приведенном выше электронном письме о превышении квоты оповещений это было для оповещений IPS. 
2. Войдите в CMA, чтобы проверить подлинность этого оповещения
   • Перейдите в Домашняя > События
   • В разделе Выбор пресета выберите IPS и настройте период времени в зависимости от того, когда было получено электронное письмо. Поскольку порог для генерирования письма о превышении квоты оповещений составляет 50 оповещений в час, настройте период времени, начиная за час до получения письма.  
     
3. Просмотрите события, чтобы определить Причина оповещения. Например, на приведенном ниже скриншоте видно, что было несколько событий для возможной атаки, и они исходили из одного и того же источника.
   
4. Исследуйте события и примите необходимые Действие.
5. Если эти оповещения оказываются ложным срабатыванием, свяжитесь со службой Поддержка Cato. Чтобы открыть запрос в Поддержку, обратитесь к Отправка заявки в Поддержку.
6. Если вы не хотите получать уведомления о последующих аналогичных оповещениях, вы можете перейти к соответствующему правилу или функции, относящимся к этому оповещению, и отключить Уведомление по Электронной Почте.